Per proteggere l'accesso al portale, è possibile utilizzare l'autenticazione integrata di Windows. Quando si utilizza l'autenticazione integrata di Windows, gli account di accesso vengono gestiti in Microsoft Windows Active Directory. Non è necessario che gli utenti accedano ed escano dal Portale Web. Quando aprono il sito Web, l'accesso viene infatti effettuato con gli stessi account che hanno utilizzato per accedere a Windows.
Per utilizzare Autenticazione integrata di Windows, è necessario utilizzare ArcGIS Web Adaptor (IIS) distribuito nel server Web IIS di Microsoft. Non è possibile utilizzare ArcGIS Web Adaptor (Java Platform) per eseguire l'autenticazione integrata di Windows. Se non è ancora stato fatto, installare e configurare ArcGIS Web Adaptor (IIS) con il portale.
Nota:
Se si intende aggiungere un sito di ArcGIS Server al portale e si desidera utilizzare l'autenticazione a livello Web con il sito, è necessario disabilitare l'accesso anonimo per l'istanza di ArcGIS Web Adaptor configurata con il sito prima di aggiungerlo al portale. Anche se non sembra intuitiva, questa operazione è necessaria per consentire al sito di eseguire la federazione con il portale e leggere gli utenti e i ruoli del portale. Se il sito di ArcGIS Server non utilizza l'autenticazione a livello Web, non è richiesto alcun intervento da parte dell'utente. Per istruzioni su come aggiungere un server al portale, consultare Federare un sito di ArcGIS Server con il portale.
Configurare il portale per utilizzare Windows Active Directory
Innanzitutto, configurare il portale per utilizzare HTTPS per tutte le comunicazioni. Quindi aggiornare l'archivio identità del portale per utilizzare gli utenti e i gruppi Active Directory.
Configurare il portale per utilizzare HTTPS per tutte le comunicazioni
- Accedere alla directory del Portale Web come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/home.
- Nella pagina Organizzazione,fare clic su Modifica impostazioni, e poi su Sicurezza.
- Selezionare Consenti accesso al portale dell'organizzazione solo tramite HTTPS.
- Fare clic su Salva per applicare le modifiche.
Aggiornare l'archivio identità del portale
- Accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
- Nella casella di testo Configurazione archivio utenti (in formato JSON), incollare le informazioni di configurazione utente Windows Active Directory dell'organizzazione (in formato JSON). In alternativa, è possibile aggiornare il seguente esempio con le informazioni utente specifiche per l'organizzazione.
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "caseSensitive": "false" } }Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri userPassword e user. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto). L'account specificato per il parametro user deve disporre solo delle autorizzazioni per cercare l'indirizzo di posta elettronica e il nome completo degli account Windows nella rete. Se possibile, specificare un account la cui password non scade.
Nel raro caso in cui Windows Active Directory è configurato in modo da fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su "true".
- Se si desidera creare gruppi nel portale che sfruttino i gruppi aziendali esistenti nell'archivio identità, incollare le informazioni di configurazione gruppo di Windows Active Directory dell'organizzazione (in formato JSON) nella casella di testo Configurazione archivio gruppo (in formato JSON) come mostrato di seguito. In alternativa, è possibile aggiornare il seguente esempio con le informazioni gruppo specifiche per l'organizzazione. Se si desidera utilizzare solo gruppi predefiniti del portale, eliminare eventuali informazioni nella casella di testo e saltare questo passo.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri userPassword e user. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando si fa clic su Aggiorna configurazione (sotto). L'account specificato per il parametro user deve disporre solo delle autorizzazioni per cercare i nomi dei gruppi Windows nella rete. Se possibile, specificare un account la cui password non scade.
- Fare clic su Aggiorna configurazione per salvare le modifiche.
- In caso di configurazione del portale per la disponibilità elevata, riavviare ogni computer del portale. Per istruzioni complete, consultare Arrestare ed avviare il portale.
Facoltativamente, configurare parametri dell'archivio identità aggiuntivi.
Sono disponibili parametri di configurazione dell'archivio identità aggiuntivi che è possibile modificare utilizzando l'API di amministrazione di Portal for ArcGIS. Questi parametri includono opzioni quali la limitazione dell'aggiornamento automatico dei gruppi quando un utente aziendale esegue l'accesso al portale, l'impostazione dell'intervallo di aggiornamento dell'iscrizione e la definizione della verifica di più formati nome utente. Per ulteriori informazioni, consultare Aggiorna archivio identità.
Aggiungere account aziendali al portale
Per impostazione predefinita, gli utenti aziendali possono accedere al Portale Web. Tuttavia, possono solo visualizzare gli elementi che sono stati condivisi con tutti gli utenti dell'organizzazione. Questo perché gli account aziendali non sono stati aggiunti al portale né sono stati concessi privilegi di accesso.
Aggiungere account al portale utilizzando uno dei seguenti metodi:
- Portal for ArcGIS website (uno alla volta, in blocco da un file CSV o da gruppi aziendali esistenti)
- Script Python
- Utilità da riga di comando
- Automatica
Si consiglia di designare almeno un account aziendale come amministratore del portale. A questo scopo, scegliere il ruolo Amministratore durante l'aggiunta dell'account. Quando si dispone di un account alternativo per l'amministratore del portale, è possibile assegnare il ruolo Utente all'account iniziale dell'amministratore o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.
Dopo aver aggiunto gli account e completati i passaggi sottostanti, gli utenti potranno accedere all'organizzazione e ai relativi contenuti.
Configurare ArcGIS Web Adaptor per utilizzare IWA.
- Aprire Gestione Internet Information Services (IIS).
- Nel riquadro Connessioni, individuare ed espandere il sito Web che ospita ArcGIS Web Adaptor.
- Fare clic sul nome di ArcGIS Web Adaptor. L'impostazione predefinita è arcgis.
- Nel riquadro Home, fare doppio clic su Autenticazione.
- Selezionare Autenticazione anonima e Disabilita.
- Selezionare Autenticazione Windows e fare clic su Abilita.
- Chiudere Gestione Internet Information Services (IIS).
Verificare di poter accedere al portale tramite IWA
- Aprire il Portale Web. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/home.
- Verificare che vengano richieste le credenziali dell'account aziendale o che venga eseguito automaticamente l'accesso utilizzando l'account aziendale. Se il funzionamento è diverso, verificare che l'account Windows utilizzato per accedere al computer sia stato aggiunto al portale.
Impedire agli utenti di creare i propri account predefiniti
Per impedire agli utenti di creare propri account predefiniti, disabilitare il pulsante Crea account e la pagina di registrazione (signup.html) nel Portale Web. In questo modo tutti i membri possono accedere al portale con le credenziali aziendali e non verranno creati account di membri non necessari. Per istruzioni complete, vedere Disabilitare la funzionalità per consentire agli utenti di creare account predefiniti del portale.